Ransomware

Locky Ransomware is dodelijk! Hier is alles wat u moet weten over dit virus.

Locky Ransomware is dodelijk! Hier is alles wat u moet weten over dit virus.

Locky is de naam van een Ransomware die laat is geëvolueerd, dankzij de constante algoritme-upgrade door de auteurs. Locky, zoals de naam suggereert, hernoemt alle belangrijke bestanden op de geïnfecteerde pc en geeft ze een extensie .locky en eist losgeld voor de decoderingssleutels.

Locky-ransomware - Evolutie

Ransomware is in 2016 in een alarmerend tempo gegroeid. Het maakt gebruik van E-mail & Social Engineering om uw computersystemen in te voeren. De meeste e-mails met bijgevoegde kwaadaardige documenten bevatten de populaire ransomware-soort Locky. Van de miljarden berichten die kwaadaardige documentbijlagen gebruikten, bevatte ongeveer 97% Locky-ransomware, een alarmerende stijging van 64% ten opzichte van Q1 2016 toen het voor het eerst werd ontdekt.

De Locky-ransomware werd voor het eerst gedetecteerd in februari 2016 en naar verluidt verzonden naar een half miljoen gebruikers. Locky kwam in de schijnwerpers toen het Hollywood Presbyterian Medical Center in februari van dit jaar $ 17.000 Bitcoin losgeld betaalde voor de decoderingssleutel voor patiëntgegevens. Locky besmette ziekenhuisgegevens via een e-mailbijlage vermomd als een Microsoft Word-factuur.

Sinds februari koppelt Locky zijn extensies aan een ketting om slachtoffers te misleiden dat ze zijn geïnfecteerd door een andere Ransomware. Locky begon de versleutelde bestanden oorspronkelijk te hernoemen naar files .locky en tegen de tijd dat de zomer aanbrak, evolueerde het in de .zepto extensie, die sindsdien in meerdere campagnes is gebruikt.

Laatst gehoord, Locky versleutelt nu bestanden met .ODIN extensie, in een poging gebruikers te verwarren dat het eigenlijk de Odin-ransomware is.

Locky Ransomware

Locky ransomware verspreidt zich voornamelijk via spam-e-mailcampagnes van de aanvallers. Deze spam-e-mails hebben meestal .doc-bestanden als bijlagen die vervormde tekst bevatten die lijkt op macro's.

Een typische e-mail die wordt gebruikt bij de distributie van Locky ransomware kan een factuur zijn die de aandacht van de meeste gebruikers trekt, bijvoorbeeld,

E-mailonderwerp kan zijn: - “ATTN: Factuur P-12345678”, geïnfecteerde bijlage - "factuur_P-12345678.doc” (bevat macro's die Locky ransomware downloaden en installeren op computers):”

En e-mailtekst - "Beste iemand, zie de bijgevoegde factuur (Microsoft Word-document) en maak de betaling over volgens de voorwaarden die onderaan de factuur staan ​​vermeld. Laat het ons weten als je vragen hebt. We waarderen uw bedrijf enorm!!”

Zodra de gebruiker macro-instellingen in het Word-programma inschakelt, wordt een uitvoerbaar bestand dat eigenlijk de ransomware is gedownload op de pc. Daarna worden verschillende bestanden op de pc van het slachtoffer versleuteld door de ransomware, waardoor ze unieke combinatienamen van 16 letters en cijfers krijgen met: .shit, .Thor, .locky, .zepto of .Odin bestandsextensies. Alle bestanden worden versleuteld met de RSA-2048 en AES-1024 algoritmen en vereisen een privésleutel die is opgeslagen op de externe servers die worden beheerd door de cybercriminelen voor decodering.

Zodra de bestanden zijn versleuteld, genereert Locky een extra .tekst en _HELP_instructies.html bestand in elke map met de versleutelde bestanden. Dit tekstbestand bevat een bericht (zoals hieronder weergegeven) dat gebruikers informeert over de codering.

Het stelt verder dat bestanden alleen kunnen worden gedecodeerd met behulp van een decrypter die is ontwikkeld door cybercriminelen en tegen kostprijs .5 BitCoin. Om de bestanden terug te krijgen, wordt het slachtoffer gevraagd om de Tor-browser te installeren en een link in de tekstbestanden/achtergrond te volgen. De website bevat instructies om de betaling uit te voeren.

Er is geen garantie dat zelfs na het uitvoeren van de betaling de bestanden van het slachtoffer zullen worden gedecodeerd. Maar om de 'reputatie' te beschermen, houden ransomware-auteurs zich meestal aan hun deel van de afspraak.

Locky Ransomware verandert van .wsf naar .LNK-extensie

Post zijn evolutie dit jaar in februari; Locky ransomware-infecties zijn geleidelijk afgenomen met minder detecties van Nemucod, die Locky gebruikt om computers te infecteren. (Nemucod is een .wsf-bestand in .zip-bijlagen in spam-e-mail). Echter, zoals Microsoft meldt, hebben Locky-auteurs de bijlage gewijzigd van: .wsf-bestanden naar snelkoppelingen (.LNK-extensie) die PowerShell-opdrachten bevatten om Locky te downloaden en uit te voeren.

Een voorbeeld van de spam-e-mail hieronder laat zien dat deze is gemaakt om onmiddellijk de aandacht van de gebruikers te trekken. Het wordt met een hoge prioriteit verzonden en met willekeurige tekens in de onderwerpregel. De hoofdtekst van de e-mail is leeg.

De spam-e-mail wordt meestal genoemd als Bill arriveert met een .zip-bijlage, die de . bevat .LNK-bestanden. Bij het openen van de .zip-bijlage, activeren gebruikers de infectieketen. Deze dreiging wordt gedetecteerd als: TrojanDownloader:PowerShell/Ploprolo.EEN. Wanneer het PowerShell-script succesvol wordt uitgevoerd, wordt Locky gedownload en uitgevoerd in een tijdelijke map die de infectieketen voltooit.

Bestandstypen die het doelwit zijn van Locky Ransomware

Hieronder staan ​​de bestandstypen die het doelwit zijn van Locky ransomware.

.yuv, .ycbcra, .xis, .wpd, .tex, .sxg, .stx, .srw, .srf, .sqlitedb, .sqlite3, .sqlite, .sdf, .sda, .s3db, .rwz, .rwl, .rdb, .Rat, .raf, .qby, .qbx, .qbw, .qbr, .qba, .psafe3, .plc, .plus_muhd, .pdd, .anders, .orf, .odm, .odf, .nyf, .nxl, .nwb, .nrw, .geen P, .nee, .ndd, .mijn, .mrw, .geldbron, .mny, .mmw, .mfw, .mef, .mdc, .lua, .kpdx, .kdc, .kdbx, .jpe, .incpas, .iiq, .ibz, .ibank, .hbk, .grauw, .grijs, .grijs, .fhd, .ffd, .exf, .erf, .erbsql, .eml, .dxg, .drf, .dng, .dgc, .des, .der, .ddrw, .ddoc, .gelijkstroom, .db_journal, .csl, .csh, .crw, .krop, .cib, .cdrw, .cdr6, .cdr5, .cdr4, .cdr3, .bpw, .bgt, .bdb, .baai, .bank, .backupdb, .back-up, .terug, .awg, .apj, .ait, .agdl, .advertenties, .adb, .acr, .ach, .accdt, .accdr, .accde, .vmxf, .vmsd, .vhdx, .vhd, .vbox, .stm, .rvt, .qcow, .qed, .pif, .pdb, .pabo, .ost, .ogg, .nvram, .ndf, .m2ts, .log, .hpp, .hdd, .groepen, .flvv, .edb, .dit, .dat, .cmt, .bin, .aiff, .xlk, .dichtproppen, .tlg, .zeggen, .sas7bdat, .qbm, .qbb, .ptx, .pfx, .pef, .pat, .olie-, .odc, .nsh, .nsg, .nsf, .nsd, .mos, .indd, .iif, .fpx, .ff, .fdb, .dtd, .ontwerp, .ddd, .dcr, .dac, .cdx, .cdf, .mengsel, .bkp, .adp, .handelen, .xlr, .xlam, .xla, .wps, .tga, .pspimage, .pct, .pcd, .fxg, .flac, .eps, .dxb, .drw, .punt, .cpi, .cls, .cdr, .arw, .aac, .thm, .srt, .sparen, .veilig, .pwm, .Pagina's, .obj, .mlb, .mbx, .verlicht, .lacdb, .kwm, .idx, .html, .flf, .dxf, .dwg, .dds, .csv, .css, .configuratie, .cfg, .cer, .asx, .aspx, .aoi, .accdb, .7zip, .xls, .wab, .rtf, .prf, .ppt, .oab, .bericht, .mapimail, .jnt, .doc, .dbx, .contact, .midden, .wma, .flv, .mkv, .bewegen, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .portemonnee, .upk, .sav, .ltx, .litesql, .litemod, .lbf, .iwi, .smederij, .das, .d3dbsp, .bsa, .fiets, .Bedrijfsmiddel, .APK, .gpg, .aes, .BOOG, .PAQ, .teer.bz2, .tbk, .bak, .teer, .tgz, .zeldzaam, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .rauw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .knuppel, .klasse, .pot, .Java, .adder, .brd, .sch, .dch, .duik, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MIJN IK, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .pst, .onetoc2, .asc, .lay6, .leggen, .ms11 (beveiligingskopie), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .vreemd, .uop, .potx, .potm, .pptx, .pptm, .soa, .sxd, .pot, .pps, .stil, .sxi, .otp, .odp, .weken, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .verschil, .stc, .sxc, .ots, .ods, .hwp, .puntm, .dotx, .docm, .docx, .PUNT, .max, .xml, .tekst, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .mvo, .crt, .ke.

Hoe Locky Ransomware-aanval te voorkomen?

Locky is een gevaarlijk virus dat een ernstige bedreiging vormt voor uw pc. Het wordt aanbevolen dat u deze instructies volgt om ransomware te voorkomen en te voorkomen dat u geïnfecteerd raakt.

  1. Zorg altijd voor anti-malwaresoftware en anti-ransomwaresoftware die uw pc beschermt en werk deze regelmatig bij.
  2. Update uw Windows-besturingssysteem en de rest van uw software up-to-date om mogelijke software-exploits te beperken.
  3. Maak regelmatig een back-up van uw belangrijke bestanden. Het is een goede optie om ze offline te bewaren dan in een cloudopslag, omdat virussen daar ook kunnen komen
  4. Schakel het laden van macro's in Office-programma's uit. Het openen van een geïnfecteerd Word-documentbestand kan riskant zijn!
  5. Open e-mail niet blindelings in de secties 'Spam' of 'Ongewenste' e-mail. Dit zou u kunnen misleiden om een ​​e-mail te openen die de malware bevat. Denk na voordat u op weblinks op websites of e-mails klikt of e-mailbijlagen downloadt van afzenders die u niet kent. Klik of open dergelijke bijlagen niet:
    1. Bestanden met .LNK-extensie
    2. Bestanden met.wsf-extensie
    3. Bestanden met dubbele puntextensie (bijvoorbeeld profiel-p29d... wsf).

Lezen: Wat te doen na een ransomware-aanval op uw Windows-computer Windows?

Hoe Locky Ransomware te decoderen

Vanaf nu zijn er geen decrypters beschikbaar voor Locky ransomware. Een decryptor van Emsisoft kan echter worden gebruikt om bestanden te decoderen die zijn versleuteld door: AutoLocky, een andere ransomware die ook bestanden hernoemt naar de .locky-extensie. AutoLocky gebruikt scripttaal AutoI en probeert de complexe en geavanceerde Locky-ransomware na te bootsen. U kunt de volledige lijst met beschikbare ransomware-decryptortools hier bekijken.

Bronnen & Credits: Microsoft | BleepingComputer | PCRisk.

Spellen Installeer de nieuwste OpenRA Strategy Game op Ubuntu Linux
Installeer de nieuwste OpenRA Strategy Game op Ubuntu Linux
OpenRA is een Libre/Free Real Time Strategy-game-engine die de vroege Westwood-games nabootst, zoals de klassieke Command & Conquer: Red Alert. Gedist...
Spellen Installeer de nieuwste Dolphin Emulator voor Gamecube & Wii op Linux
Installeer de nieuwste Dolphin Emulator voor Gamecube & Wii op Linux
Met de Dolphin Emulator kun je de door jou gekozen Gamecube- en Wii-spellen spelen op Linux Personal Computers (pc). Omdat het een vrij beschikbare e...
Spellen Hoe de GameConqueror Cheat Engine in Linux te gebruiken
Hoe de GameConqueror Cheat Engine in Linux te gebruiken
Het artikel bevat een handleiding over het gebruik van de GameConqueror cheat-engine in Linux. Veel gebruikers die games op Windows spelen, gebruiken ...